Nueva técnica para engañar y ocultar direcciones URL en Instagram, iMessage, WhatsApp, Signal y Facebook Messenger

---

28/03/2022

Se ha publicado una nueva técnica de phishing que afecta a las principales plataformas de mensajería y correo electrónico del mundo, incluidas Instagram, iMessage, WhatsApp, Signal y Facebook Messenger, que permitirían a un atacante crear mensajes engañosos de aspecto legítimo y ocultar direcciones URL.

Las vulnerabilidades reportadas se componen de 4 (cuatro) sin una severidad asignada aún. Las cuales se detallan a continuación:

• CVE-2020-20093, CVE-2020-20094, CVE-2020-20095 y CVE-2020-20096, estas vulnerabilidades están relacionadas a errores en la Interfaz de usuario (UI), la cual no representa correctamente la información crítica para el usuario, mostrando las URL con caracteres de control Unicode RTLO inyectados (anulación de derecha a izquierda), provocando que el usuario sea vulnerable a los ataques de suplantación de URI que permitiría que la información sea falsificada. Esto es a menudo un componente en las estafas en línea, el phishing y la propagación de la desinformación.

Cuando un mensaje contiene una URL válida, se resalta y se marca como hipervínculo. Sin embargo, esto se imprime en la pantalla antes de la limpieza de los caracteres de control Unicode, lo que resulta en la suplantación de URI a través de mensajes especialmente diseñados, lo que se denomina RIUS - RTLO Inyección URI Spoofing.

Al inyectar un caracter RTLO en una cadena, hace que un navegador o una aplicación de mensajería muestre la cadena de derecha a izquierda en lugar de su orientación normal de izquierda a derecha. Este caracter se utiliza predominantemente para la visualización de mensajes árabes o hebreos.

Por ejemplo, el PoC liberado abusa de google.com para la URL enmascarada y en la que se puede hacer clic y establece una URL maliciosa como destino.

Esto permite que los ataques de phishing falsifiquen dominios confiables en mensajes enviados a usuarios de las plataformas afectadas, haciendo aparecer como subdominios legítimos y confiables de apple.com o google.com.

Las versiones de las plataformas afectadas son:

• Facebook Messenger para iOS 227.0 y versiones anteriores y Android 228.1.0.10.116
• Instagram para iOS 106.0 y versiones anteriores y Android 107.0.0.11
• iMessage (aplicación Mensajes) iOS 12.4
• Whatsapp para iOS 2.19.80 y versiones anteriores y Android 2.19.222

Recomendamos a los usuarios de las aplicaciones mencionadas a tener cuidado al recibir mensajes que contengan URL, siempre haga clic en el lado izquierdo y permanezca alerta a las actualizaciones de seguridad de las aplicaciones entrantes que abordarían el problema.

Adicionalmente:

• Desactivar las vistas previas de enlaces, especialmente en las aplicaciones de correo y en cualquier componente relacionado con las notificaciones.
• No visitar sitios web extraños con ventanas emergentes.
• No hacer clic en sorteos de premios aleatorios.
• Utilizar los marcadores y asegurarse de mantenerlos actualizados, especialmente para iOS, pues sería peligroso confiar en las URL de los mensajes instantáneos.

Referencias:

• https://github.com/zadewg/RIUS
• https://github.com/zadewg/RIUS/blob/master/exploit.sh
• https://nvd.nist.gov/vuln/detail/CVE-2020-20093
• https://nvd.nist.gov/vuln/detail/CVE-2020-20094
• https://nvd.nist.gov/vuln/detail/CVE-2020-20095
• https://nvd.nist.gov/vuln/detail/CVE-2020-20096
• https://www.bleepingcomputer.com/news/security/url-rendering-trick-enabled-whatsapp-signal-imessage-phishing/